隨著攻防對抗的升級,用戶行為分析與網(wǎng)絡(luò)安全的結(jié)合逐漸進(jìn)入了研究者的視野。用戶行為分析技術(shù)可以做到在被成功攻擊前識別不可信用戶,遏制入侵,達(dá)到主動防御的效果。當(dāng)前在Web安全中用戶行為分析所使用的數(shù)據(jù)源主要是應(yīng)用層HTTP維度的數(shù)據(jù),這不足以確定用戶身份,容易造成漏報。在安全性和隱私性更好的HTTPS技術(shù)被大規(guī)模應(yīng)用的情況下,文中提出了基于n-gram和Simhash的改進(jìn)的TLS指紋數(shù)據(jù),該方法提高了現(xiàn)有TLS（Transport Layer Security）指紋的容錯性。將該指紋應(yīng)用到用戶行為分析中可提高用戶身份判定的準(zhǔn)確率。對比實(shí)驗(yàn)使用卷積神經(jīng)網(wǎng)絡(luò)對從真實(shí)環(huán)境中得到的指紋數(shù)據(jù)和日志型用戶行為數(shù)據(jù)進(jìn)行建模分析。結(jié)果表明,改進(jìn)的TLS指紋數(shù)據(jù)可以更有效地識別用戶和黑客,將準(zhǔn)確率提高了4.2%。進(jìn)一步的分析表明,通過改進(jìn)的TLS指紋關(guān)聯(lián)用戶行為和時間軸回溯,還能在一定程度上對黑客進(jìn)行追蹤溯源,從而為安全事件調(diào)查提供情報上下文。 

【文章來源】：計算機(jī)科學(xué). 2020,47(03)北大核心CSCD

【文章頁數(shù)】：5 頁

【部分圖文】：

數(shù)據(jù)采集架構(gòu)

算法1 基于2-gram提取特征的Simhash化TLS指紋提取算法將多個軟件程序的TLS指紋通過算法1進(jìn)行計算后,得到每項(xiàng)之間的相似距離,如表2所列。

使用深度卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行用戶行為分析的模型如圖3所示。輸入數(shù)據(jù)分為兩個分支,分支一是圖1中OpenResty的后3個部分得到的行為數(shù)據(jù)(LogData),其中包括時間戳、請求方法、請求參數(shù)、HTTP Referrer頭、HTTP User-Agent頭、Cookie頭、訪問的URI、使用的協(xié)議、Host頭、來源IP、返回狀態(tài)碼;分支二是圖1中JA3模塊得到的TLS指紋(TLS FP)。對于LogData,首先進(jìn)行字符級ASCII碼轉(zhuǎn)碼得到數(shù)值型數(shù)據(jù);然后,將其輸入字符級嵌入層進(jìn)行嵌入映射操作,得到字符嵌入矩陣;隨后將字符嵌入矩陣送入卷積層,采用64個大小為3×3、步長為2的卷積核進(jìn)行卷積特征提取,同時進(jìn)行最大池化,并將卷積層的輸出送入全連接層。分支二中,TLS指紋經(jīng)過算法1進(jìn)行提取特征和Simhash計算,從而得到Simhash值,然后進(jìn)入一個全連接層進(jìn)行神經(jīng)網(wǎng)絡(luò)化,并在全連接層后與分支一的全連接層輸出進(jìn)行連接操作來融合兩部分?jǐn)?shù)據(jù),然后再進(jìn)行一次全連接層處理,最后將全連接層輸出給Softmax分類器進(jìn)行分類判別,從而得到檢測結(jié)果。4.2 實(shí)驗(yàn)結(jié)果


本文編號：3480334